Nie dość, że nowy, groźny, to jeszcze w nietypowy sposób wykorzystuje użytkowników: rozprzestrzenia się za pomocą zaproszeń do popularnych serwisów, takich jak Twitter, Amazon czy Hallmark i fałszywe e-maile od Google. Mało tego: robak udaje też rozszerzenie zabezpieczające do przeglądarki Firefox.
Nowością w przypadku tego robaka jest sposób, w jaki oszukuje on użytkowników, rozprzestrzeniając się pod przykrywką zaproszeń do serwisów społecznościowych, takich jak Twitter i Hi5, oraz w e-mailach udających odpowiedzi z Google w sprawie podania o pracę.
Inną nową cechą jest sposób, w jaki robak instaluje się na komputerach, podszywając się pod rozszerzenie zabezpieczające do przeglądarki Firefox.
Po zainstalowaniu, robak przekierowuje przeglądarkę na różne strony, gdy użytkownik przeprowadza wyszukiwanie przy użyciu jednego z poniższych słów:
A: Airlines, Amazon, Antivir, Antivirus.
B: Baseball, Books.
C: Casino, Chrome, Cialis, Cigarettes, Comcast, Craigslist, Credit.
D: Dating, Design, Doctor.
E: Explorer
F: Fashion, Finance, Firefox, Flifhts, Flower, Football
G: Gambling, Gifts, Graphic.
H: Health, Hotel.
I: Insurance, Iphone.
L: Loans.
M: Medical, Military, Mobile, Money, Mortgage, Movie, Music, Myspace.
O: Opera.
P: Pharma, Pocker.
S: School, Software, Sport, Spybot, Spyware.
T: Trading, Tramadol, Travel, Twitter.
V: Verizon, Video, Virus, Vocations.
W: Wallpaper, Weather.
Wykonuje on również szereg działań mających na celu osłabienie poziomu bezpieczeństwa zainfekowanych komputerów, dodając się do listy autoryzowanych aplikacji Zapory Windows oraz dezaktywując usługę raportowania błędów Windows i kontrolę konta użytkownika (UAC).